ISO 42001 · Hub

ISO 42001 Checklist: Chuẩn Bị Trước Chứng Nhận

ISO 42001 Là Gì và Tại Sao Doanh Nghiệp Cần Chuẩn Bị?

ISO/IEC 42001:2023 là tiêu chuẩn quốc tế đầu tiên dành riêng cho AI Management System (AIMS): khung quản trị giúp tổ chức phát triển, triển khai và vận hành hệ thống AI một cách có trách nhiệm. Khác với các framework bảo mật thông tin như ISO 27001, ISO 42001 tập trung vào vòng đời của AI: từ xác định mục tiêu kinh doanh, đánh giá rủi ro đặc thù của AI, đến kiểm soát tác động đối với con người và xã hội. Với xu hướng các doanh nghiệp Việt Nam tích hợp AI vào quy trình vận hành ngày càng nhiều, việc chuẩn bị chứng nhận ISO 42001 không chỉ là bước đi về mặt compliance mà còn là tín hiệu tin cậy với đối tác và khách hàng.


Bước 1: Xác Định AI Policy và Scope của AIMS

Điểm khởi đầu của mọi dự án ISO 42001 là xây dựng AI policy: văn bản cấp cao thể hiện cam kết của ban lãnh đạo đối với việc sử dụng AI có trách nhiệm. Policy này cần phản ánh giá trị tổ chức, không sao chép mẫu chung chung.

Song song đó, tổ chức phải xác định AIMS scope: phạm vi nào của hoạt động AI nằm trong hệ thống quản lý? Scope quá rộng gây khó kiểm soát; quá hẹp thì không phản ánh thực tế triển khai. Checklist tối thiểu cho bước này:

  • Liệt kê tất cả use case AI đang vận hành hoặc đang phát triển
  • Phân loại theo mức độ tác động (impact level): cao, trung bình, thấp
  • Xác định ranh giới tổ chức, địa lý và hệ thống kỹ thuật thuộc scope
  • Phê duyệt AI policy bởi top management và truyền thông nội bộ

Bước 2: AI Risk Assessment và Annex A Controls

Đây là phần đặc trưng nhất của ISO 42001 và thường mất nhiều thời gian nhất. Tiêu chuẩn yêu cầu tổ chức thực hiện risk assessment có hệ thống cho từng AI system trong scope, bao gồm:

  • Xác định AI-specific risks: bias, thiếu giải thích được (explainability), data drift, lạm dụng mục đích (misuse), và tác động bất cân xứng lên nhóm yếu thế
  • Đánh giá ngữ cảnh sử dụng (context of use): ai là người dùng cuối, quyết định nào phụ thuộc vào đầu ra của AI
  • Lập Statement of Applicability (SoA) dựa trên Annex A, tương tự ISO 27001 nhưng các control tập trung vào quản trị dữ liệu, minh bạch, giám sát con người (human oversight) và trách nhiệm giải trình

Annex A của ISO 42001 bao gồm hơn 30 controls chia theo các domain: AI system lifecycle, data for AI, technical controls, và responsible AI. Mỗi control cần có tài liệu chứng minh triển khai hoặc lý do không áp dụng (not applicable justification).

Một lỗi phổ biến là đánh giá risk theo cách chung chung, không gắn với từng AI system cụ thể. Audit viên sẽ hỏi: "Với mô hình phân loại khách hàng này, bạn đã đánh giá risk bias như thế nào?", nếu không có hồ sơ cụ thể, tổ chức khó pass được audit.


Bước 3: Internal Audit và Management Review

Trước khi mời tổ chức chứng nhận (certification body), tổ chức phải tự thực hiện internal audit toàn bộ AIMS. Mục tiêu không phải là "kiểm tra xem có vấn đề không" mà là xác nhận hệ thống vận hành đúng như thiết kế và các control đang hoạt động hiệu quả.

Checklist chuẩn bị internal audit:

  • Audit program được lập kế hoạch từ 4-8 tuần trước certification audit
  • Auditor nội bộ được đào tạo về ISO 42001 (không nhất thiết phải chứng chỉ formal, nhưng phải hiểu tiêu chuẩn)
  • Tất cả nonconformity từ internal audit được ghi nhận, phân tích nguyên nhân gốc và có corrective action
  • Management review được tổ chức sau internal audit: ban lãnh đạo xem xét KPI của AIMS, kết quả risk assessment, audit findings, và đưa ra quyết định cải tiến

Management review phải có biên bản (minutes) và được lưu trữ như evidence, đây là một trong những điểm audit viên bên ngoài thường kiểm tra đầu tiên.


Câu Hỏi Thường Gặp

ISO 42001 có bắt buộc tích hợp với ISO 27001 không? Không bắt buộc, nhưng nhiều tổ chức chọn tích hợp vì hai tiêu chuẩn chia sẻ cấu trúc Annex SL chung. Tích hợp giúp tránh trùng lặp tài liệu và tối ưu nguồn lực audit.

Doanh nghiệp vừa và nhỏ có thể áp dụng ISO 42001 không? Có. Tiêu chuẩn không yêu cầu quy mô tối thiểu. Scope có thể giới hạn ở một vài AI use case cụ thể thay vì toàn bộ tổ chức, giúp dự án certification khả thi hơn.

Mất bao lâu để chuẩn bị từ đầu đến certification audit? Phụ thuộc vào số lượng AI systems trong scope và mức độ sẵn sàng hiện tại, nhưng thông thường từ 6 đến 18 tháng cho dự án triển khai đầy đủ.


Nếu bạn đang ở giai đoạn lập kế hoạch hoặc cần cấu trúc lại hồ sơ trước khi bước vào certification audit, pTrackly cung cấp công cụ theo dõi tiến độ compliance và quản lý evidence cho ISO 42001, giúp team của bạn nắm rõ trạng thái từng control mà không cần spreadsheet rời rạc.

pTrackly giúp bạn triển khai ISO 42001 nhanh hơn với templates và evidence collection tự động.

Đặt Demo Miễn Phí

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo